【讨论】iptables中的疑难

wysilly

唉......
iptables&ipchain,爱你真难.

tree2008

原帖由 platinum 于 2007-5-19 18:24 发表于 30楼  

sorry，请你说话前先屡清自己的逻辑再说不迟

那份 PPT 本来就是面对新手而写的，OUTPUT 链对他们来说用处不大，且概念容易混淆，若想研究这个可单独自学

既然你认为自己是对的，那么你是从哪看到的资料 ...

既然你是老手那就请你看看这个（这是从novell官网翻译过来的iptables权威文档）
http://security.ccidnet.com/art/1101/20061214/976177_1.html
看完我然后我想请教你个问题：
此文中内网$NET_PRV中一主机192.168.1.10 访问外网中www.sina.com.cn的http服务，那么，数据包是先后匹配了防火墙的那些规则出去，又通过了那些规则匹配回到192.168.1.10？
这是整个数据包流向的问题
1、你回答正确；我五体投地，佩服之情如滔滔江水...
2、你回答错误；你还需要好好学习，别再误人子弟啦
3、你不回答；，唉！烂泥敷不上墙啊！！！

wysilly

长见识,还有这样的人.

这篇文章说的你搞清楚了吗?
http://security.ccidnet.com/art/1101/20061214/976177_1.html
原文说的更清楚.
http://www.novell.com/coolsolutions/feature/18139.html
服了你,你用这篇文章就是自己打自己的嘴.

[ 本帖最后由 wysilly 于 2007-5-20 10:36 编辑 ]

枫影谁用了

http://www.billauer.co.il/ipmasq-html.html


哈哈..还是改正是我以前的一些错误观点..

不过遗憾的是把自己的测试机玩死了..回到公司才行咯

iptables -P OUTPUT DROP后啥都死了.....

platinum

原帖由 枫影谁用了 于 2007-5-20 10:39 发表于 34楼  
不过遗憾的是把自己的测试机玩死了..回到公司才行咯
iptables -P OUTPUT DROP后啥都死了.....

这是肯定的啊，你和测试机之间是“直接”的关系，而不是“间接”

枫影谁用了

原帖由 platinum 于 2007-5-20 10:44 发表于 35楼  

这是肯定的啊，你和测试机之间是“直接”的关系，而不是“间接”

嗯,thank you.

退一步,打个比方
/sbin/iptables -P OUTPUT DROP后,nat还是可以的.
一个贴子,http://www.billauer.co.il/ipmasq-html.html

[ 本帖最后由 枫影谁用了 于 2007-5-20 11:31 编辑 ]

枫影谁用了

呵呵..就算/sbin/iptables -P OUTPUT DROP...

那nat也不会有影响.

问题在于区分出何是间接,何是直接.

[ 本帖最后由 枫影谁用了 于 2007-5-20 11:36 编辑 ]

platinum

原帖由 枫影谁用了 于 2007-5-20 10:47 发表于 36楼  


嗯,thank you.

退一步,打个比方
/sbin/iptables -P OUTPUT DROP后,nat还是可以的.
一个贴子,http://www.billauer.co.il/ipmasq-html.html

正解，NAT 和 filter 表的 INPUT/OUTPUT 链丝毫没有任何关系！
为此我还特意做了实验，内网 ping 外网，GW 的 OUTPUT 规则为空，iptables -P OUTPUT DROP 执行后内网不受任何影响

希望那位爱较真的朋友能自己动手做做实验，听听别人意见，嘴里放干净些

tree2008

原帖由 枫影谁用了 于 2007-5-20 11:33 发表于 37楼  
呵呵..就算/sbin/iptables -P OUTPUT DROP...

那nat也不会有影响.

问题在于区分出何是间接,何是直接.

:em11: 他们在忽悠你呢，忽悠，就会忽悠，除了忽悠还是忽悠啊，没点实质的东西。

你这种测试的态度很好，不过方法还可以优化一下
“iptables -P OUTPUT DROP后啥都死了”，如果你OUTPUT链没有任何ACCEPT规则的话，那肯定死，这条规则下去所有从这个机器出去的数据全被DROP啦，也就是说你肯定连不上防火墙网关啦，无论外网内网。

给你推荐一个好的测试方法，不需要DROP任何数据就可以检查确认内网数据是否经过OUTPUT链检查：
1）确认你的防火墙是开的
    #iptables -L

2）确认你的内网可以访问外网
   内网机器 ping 外网
   Pinging jupiter.sina.com.cn [202.108.33.32] with 32 bytes of data:
Reply from 202.108.33.32: bytes=32 time=15ms TTL=249
Reply from 202.108.33.32: bytes=32 time=16ms TTL=249
Reply from 202.108.33.32: bytes=32 time=15ms TTL=249
Reply from 202.108.33.32: bytes=32 time=16ms TTL=249

3)在防火墙里OUTPUT链首增加一条LOG规则
#iptables -I OUTPUT 1 -j LOG --log-prefix="OUTPUT From here: "
这句话的意思是说在OUTPUT 链首插入一条规则：当有数据到OUTPUT链来接受检查的时候，就记日志，日志的前缀为OUTPUT From here:

现在防火墙的OUTPUT链规则如下
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere            LOG level warning prefix `OUTPUT From here: '
...
...

...表示其他规则

4）再从内网机器 ping 外网，然后检查日志
   Pinging jupiter.sina.com.cn [202.108.33.32] with 32 bytes of data:
Reply from 202.108.33.32: bytes=32 time=15ms TTL=249
Reply from 202.108.33.32: bytes=32 time=16ms TTL=249
Reply from 202.108.33.32: bytes=32 time=15ms TTL=249
Reply from 202.108.33.32: bytes=32 time=16ms TTL=249

这时候，如果日志里
A：没有记载OUTPUT From here....的包那么，证明从内网发起的ping包确实没经过防火墙OUTPUT链的检查
B：如果有记载OUTPUT From here....的icmp包，那么证明从内网发起的ping包一定是经过防火墙OUTPUT链的检查

检查防火墙日志得到事实的真相
# cat /var/log/messages|grep "OUTPUT From here"|grep -i icmp

May 20 15:17:00 firewall kernel: OUTPUT From here: IN= OUT=eth0 SRC=192.168.18.6 DST=202.108.33.32 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=13 DF PROTO=ICMP TYPE=8 CODE=0 ID=36360 SEQ=13
May 20 15:17:00 firewall kernel: OUTPUT From here: IN= OUT=eth0 SRC=192.168.18.6 DST=202.108.33.32 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=13 DF PROTO=ICMP TYPE=8 CODE=0 ID=36360 SEQ=13

如果有类似以上输出，那说明ping的icmp包经过防火墙OUTPUT链的检查；没有就找把刀来把我砍死算啦

测试完了后可以将刚才加的iptables -I OUTPUT 1 -j LOG --log-prefix="OUTPUT From here: "规则删除以恢复以前防火墙配置
#iptables -D OUTPUT 1


最后一次确定一定以及肯定并100%负责地申明一次：任何通过网关防火墙的数据一定通过网关防火墙的OUTPUT链的检查。

wysilly

你认为正确的就是正解的了，兄弟我认可你的一点就是，不轻信别人（或者说勇于怀疑一切），我不认可你的一点也是这个，不肯信任别人。

很多事情都是这样，可以说没什么可争的。对错不重要，要有好的心态。